Cisco路由器交换机基准安全配置标准

上传人:ren****ao 文档编号:125284913 上传时间:2022-07-26 格式:DOC 页数:6 大小:31KB
收藏 版权申诉 举报 下载
Cisco路由器交换机基准安全配置标准_第1页
第1页 / 共6页
Cisco路由器交换机基准安全配置标准_第2页
第2页 / 共6页
Cisco路由器交换机基准安全配置标准_第3页
第3页 / 共6页
资源描述:

《Cisco路由器交换机基准安全配置标准》由会员分享,可在线阅读,更多相关《Cisco路由器交换机基准安全配置标准(6页珍藏版)》请在装配图网上搜索。

1、Cisco路由器/交换机基准安全配置标准TMT中国业务中心信息管理部2006年12月5日目的通过建立系统的安全基线标准,规范TMT中国业务中心网络环境Cisco路由器和交换机的安全配置,并提供相应的指导;降低系统存在的安全风险,确保Cisco路由器和交换机安全可靠的运行。范围适合TMT中国业务中心网络环境的所有Cisco路由器和交换机。标准维护与解释1. 本标准由TMT中国业务中心每年审视1次,根据审视结果修订标准,并颁布执行;2. 本标准的解释权归TMT中国业务中心;3. 本标准自签发之日起生效。目录1.设置强壮的管理口令42.控制VTY43.确保SNMP协议的安全54.禁用WEB管理功能5

2、5.禁用不必要的服务56.及时的升级和修补IOS软件61. 设置强壮的管理口令口令是路由器是用来防止对于路由器的非授权访问的主要手段,是路由器本身安全的一部分。必须修改默认的口令,并避免使用普通的口令,并且使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。保护路由器的密码,并配置如下:n 禁用enable password命令,改密码加密机制已经很古老,存在极大安全漏洞,必须禁用,做法是:no enable password;n 利用enable secret命令设置密码,并选择一个长的口令字(至少8位),该加密机制是IOS采用了MD5散列算法进行加密,具体语法是:enable s

3、ecretlevel level password|encryption-type encrypted-password;n 使用service password-encryption,这条命令用于对存储在配置文件中的所有口令和类似数据(如CHAP)进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。2. 控制VTY为了保证安全,任何VTY应该仅允许指定的协议建立连结。n 利用transport input命令。如一个VTY只支持Telnet服务,可以如下设置:transport input telnet;n 配置VTY的Telnet访问控制安全,利用ip access-clas

4、s限制访问VTY的ip地址范围;n 利用exec-timeout命令,配置VTY的超时。避免一个空闲的任务一直占用VTY;n 如果路由器操作系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务,可以如下设置:transport input ssh。3. 确保SNMP协议的安全n 如果没有用到SNMP功能,建议禁止SNMP协议服务。n 尽量采用Snmp V3 。n 如果必需采用Snmp V1,必须修改默认的community,如public,private等。4. 禁用web管理功能由于早期版本的路由器操作系统存在多个严重的安全漏洞,使得攻击者可以远程越权获取到路由器的完整配置

5、文件,因此建议在路由器上使用命令:no ip http server禁止HTTP服务。5. 禁用不必要的服务思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。路由器网络服务安全配置: 禁止CDP(Cisco Discovery Protocol): Router(Config)#no cdp run Router(Config-if)# no cdp enable 禁止其他的TCP、UDP Small服务:

6、Router(Config)# no service tcp-small-servers Router(Config)# no service udp-small-servers 禁止Finger服务: Router(Config)# no ip finger Router(Config)# no service finger 禁止BOOTP服务: Router(Config)# no ip bootp server 禁止从网络启动和自动从网络下载初始配置文件。 Router(Config)# no boot network Router(Config)# no servic config 禁

7、止IP Source Routing:Router(Config)# no ip source-route 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的:Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 明确的禁止IP Directed Broadcast:Router(Config)# no ip directed-broadcast 禁止IP Classless:Router(Config)# no ip classless 禁止ICMP协议的IP Unreachables,Redirects,Mask Replies:Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply 禁用DNS查找:Router(Config)# no ip domain-lookup6. 及时的升级和修补IOS软件

展开阅读全文
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!